• +13811373568
  • helpdesk@whartonlive.com

Author Archive 管理员

加密游戏智能合约中存在ceonone漏洞

管理员 No Comments

从2017年底开始,基于Buffon链的密码游戏已经变得非常流行,尤其是随着密码系统的最初成功。在密码游戏中玩家可以赚取虚拟货币并进行交易,今天所说的漏洞名为ceonone,它可以影响交易中的可交易令牌。游戏中玩家的地址可以被攻击者进行操纵或完全劫持。

(图一)

图1中某游戏中有一个类似养殖市场的功能,用户可以出售养殖市场中的养殖物,在最大限度孵化之前可以使用代替物进行交换,改游戏的最大特点是一个高科技的自动化市场,让你在一个交易中快速进行购买和销售货品,被要求生产的量越大通过物品兑换刺激产量。图1代码中示例,duffgduffer -的公共函数允许调用方更改受益人地址–ceoadvoip

图2

当ceoladion调用seledealgs或buyduffgs收费时,游戏作者对全同地址进行交叉检查,在智能合同构造函数时作者意外给了一个错误的名字,经过分析发现该游戏被攻击者锁定ceoadt地址的变化,当地址发生变化时攻击者会恢复地址。以确保在事件过程中收益。

专访沃顿在线执行总裁朱磊:谈谈那些不安全的API

管理员 No Comments

51CTO WOT 2015移动互联网开发者大会即将于2015年7月24-25日在北京富力万丽酒店隆重召开。本次大会共设八大技术分论坛,分别从产品与设计、平台与技术、创新与创业、移动游戏、算法分析、HTML5、运维安全、新浪微博技术等方面,为广大移动开发者解开技术迷思。
为使大家进一步了解本次大会,有针对性地选择课程内容,51CTO记者对即将参加大会演讲的技术专家分别进行专访,为您进行各场演讲精华的新鲜速递。本次大会详细议程见:http://wot.51cto.com/ .
今天带来“剧透”的是北京沃顿在线信息技术有限公司的创始人,原京东高级安全经理朱磊。他曾任京东研发系统安全经理,负责京东JSRC运营推广、内部工作平台、工作流程以及一些安全系统的设计,带队ISO27001项目实施,具有多年的互联网信息安全管理经验,丰富的信息安全理念和多个安全系统架构经验,具备优秀的团队建设、项目管理能力。目前,他创办了沃顿在线专注运维安全,并撰写了《暗战:数字世界之战》这本书。在本次的WOT移动互联网开发者大会中,朱磊老师将在“运维安全专场”为大家带来分享,并担任该分会场的主持人。
朱磊:专注运维安全的北京沃顿在线信息技术有限公司创始人,《暗战:数字世界之战》一书作者。曾任京东研发系统安全经理,负责京东JSRC运营推广、内部工作平台、工作流程以及一些安全系统的设计,带队ISO27001项目实施,具有多年的互联网信息安全管理经验,丰富的信息安全理念和多个安全系统架构经验,具备优秀的团队建设、项目管理能力。

  以下是对朱磊老师的采访实录:

51CTO:能否先简单谈谈您在运维安全领域的从业经验和您对运维安全的理解?以及离开京东后的未来规划?
朱磊:运维安全其实是件很尴尬的定位,运维安全的名称就注定其只是运维环节的一个辅助部门存在,很少有公司会将安全纳入企业的重点,巨头们除外。虽然这两年信息安全成为热门话题,我们可以看到有不少公司都在建立自己的安全团队,这是好的转变,但是还不够。
运维安全已经开始从救火队员的角色慢慢转变为企业安全中不可忽视的一环,这是好事情,代表着安全随着业务的转变已经从跑龙套开始慢慢出任主角。
从加入京东的那天开始,我就知道我一定会离开,而且时间不会太长。我是一个幸运的人,遇见好领导的支持与好的团队。在我而立之年的人生关键年,告别这样一个很好的团队为自己的后半生拼上一次。创办沃顿在线专注运维安全,定位企业运维安全,解决使用公有云的中小企业用户在运维安全过程中的所面临的安全风险。
51CTO::前段时间我读了您写的《暗战:数字世界之战》这本书的几个章节,请问你撰写这本书的初衷是什么?这本书将为读者带来什么?
朱磊:暗战的书名暗指隐性的斗争,用于形容企业安全工程师与骇客之间的斗争最为贴切,而两者之间的较量的战场是网络这一数字化的场地,因此得一书名”暗战:数字世界之战”。
写书是一个机缘巧合的机会,年初出版商找到想约稿一本安全方向的书,起初我是拒绝的,因为码字是我最讨厌做的事情,上学的时候作文题我都是空着的,因为不喜欢。
回家过了一个年回想了工作的这十多年总觉得要在而立之年做些什么,在决定创业的时候觉得应该为这十多年做一个总结,这才让我推翻之前的决定接下出版商的邀约。
我选择运维安全做为书的主线是因为:近两年,各互联网巨头业务以及互联网金融业务特性的快速推动,让安全的焦点快速的从运维安全转向业务安全,这其实并没有错,只是会导致一些跟风的企业转移安全的重心,导致跑偏的安全投入。
书中的案例和解决建议来自我这十多年的遇见与沉淀,其初衷一是为自己做一个总结,二是为读者带来一些参考。书中介绍了在企业运维安全中会遇见那些风险以及用什么样的方式去解决,至少在眼光望着的业务安全之前要先搞定内部环境的风险。想知道我这十多年遇见了什么有意思的事情,等下半年买书吧。
51CTO:您认为这么多年运维安全工作有哪些变化与演进?
朱磊::运维安全其实是信息安全发展的中间环节,信息安全的发展最早始于网络安全,发展与运维安全,重生与业务安全。先行者为乙方安全厂商,标志性产品就是防火墙这类的边界防御产品。所以,往前推个小十年大家在谈到信息安全时第一个印象就是防火墙。
随着互联网的崛起与演化,信息安全开始转向内网安全,于是以事件驱动的SOC(安管平台)出现,这是运维安全的雏形,也是演化时间较长的过程。随后各类边界、行为管理、审计产品开始出现,这众多的防御产品的出现看似对安全问题很有针对性,但这在解决问题的同时带来了新的问题。一个个独立的信息孤岛无形中加重了运维安全负担,大量的产品要靠流程与制度串联起来,而企业发展壮大后走流程其实是一件相当耗时的事情。
业务安全也是这两年伴随电商的火热从金融安全体系中引荐而来的方向,有一个简单粗暴的名称”风控”。运维安全也借由风控这把利剑在公司的架构中劈出一席地位,风控的核心是评估与规避业务环节的各类信息安全风险,与业务挂钩可以很准确的算出风险所带来的损失,也正因为这个准确的估算让公司注重信息安全的投入。简单粗暴的解释是公司一次市场推广活动投入400万做营销,结果投入的奖品全让”有心人”刷走了,一个团队彻夜的赶工加上宣传费用付之东流,对老板而言自然愿意拿出100万安全预算来规避未来可能造成的400万损失。
51CTO:最后,您能透漏一下本届WOT峰会上的演讲主题或内容么?
朱磊:首先感谢主办方51CTO的邀请,演讲的主题自然离不开运维安全,在阐述个人观点的同时,可耻的做一做广告。
另外做一个透漏,本届WOT峰会我除了做运维安全的观点分享还接下了安全分会场的主持人工作。

WOT2015预热系列访谈——沃顿在线创始人朱磊

管理员 No Comments

51CTO WOT 2015移动互联网开发者大会即将于2015年7月24-25日在北京富力万丽酒店隆重召开。本次大会共设八大技术分论坛,分别从产品与设计、平台与技术、创新与创业、移动游戏、算法分析、HTML5、运维安全、新浪微博技术等方面,为广大移动开发者解开技术迷思。
为使大家进一步了解本次大会,有针对性地选择课程内容,51CTO记者对即将参加大会演讲的技术专家分别进行专访,为您进行各场演讲精华的新鲜速递。本次大会详细议程见:http://wot.51cto.com/ .
今天带来“剧透”的是北京沃顿在线信息技术有限公司的创始人,原京东高级安全经理朱磊。他曾任京东研发系统安全经理,负责京东JSRC运营推广、内部工作平台、工作流程以及一些安全系统的设计,带队ISO27001项目实施,具有多年的互联网信息安全管理经验,丰富的信息安全理念和多个安全系统架构经验,具备优秀的团队建设、项目管理能力。目前,他创办了沃顿在线专注运维安全,并撰写了《暗战:数字世界之战》这本书。在本次的WOT移动互联网开发者大会中,朱磊老师将在“运维安全专场”为大家带来分享,并担任该分会场的主持人。
朱磊:专注运维安全的北京沃顿在线信息技术有限公司创始人,《暗战:数字世界之战》一书作者。曾任京东研发系统安全经理,负责京东JSRC运营推广、内部工作平台、工作流程以及一些安全系统的设计,带队ISO27001项目实施,具有多年的互联网信息安全管理经验,丰富的信息安全理念和多个安全系统架构经验,具备优秀的团队建设、项目管理能力。

  以下是对朱磊老师的采访实录:

51CTO:能否先简单谈谈您在运维安全领域的从业经验和您对运维安全的理解?以及离开京东后的未来规划?
朱磊:运维安全其实是件很尴尬的定位,运维安全的名称就注定其只是运维环节的一个辅助部门存在,很少有公司会将安全纳入企业的重点,巨头们除外。虽然这两年信息安全成为热门话题,我们可以看到有不少公司都在建立自己的安全团队,这是好的转变,但是还不够。
运维安全已经开始从救火队员的角色慢慢转变为企业安全中不可忽视的一环,这是好事情,代表着安全随着业务的转变已经从跑龙套开始慢慢出任主角。
从加入京东的那天开始,我就知道我一定会离开,而且时间不会太长。我是一个幸运的人,遇见好领导的支持与好的团队。在我而立之年的人生关键年,告别这样一个很好的团队为自己的后半生拼上一次。创办沃顿在线专注运维安全,定位企业运维安全,解决使用公有云的中小企业用户在运维安全过程中的所面临的安全风险。
51CTO::前段时间我读了您写的《暗战:数字世界之战》这本书的几个章节,请问你撰写这本书的初衷是什么?这本书将为读者带来什么?
朱磊:暗战的书名暗指隐性的斗争,用于形容企业安全工程师与骇客之间的斗争最为贴切,而两者之间的较量的战场是网络这一数字化的场地,因此得一书名”暗战:数字世界之战”。
写书是一个机缘巧合的机会,年初出版商找到想约稿一本安全方向的书,起初我是拒绝的,因为码字是我最讨厌做的事情,上学的时候作文题我都是空着的,因为不喜欢。
回家过了一个年回想了工作的这十多年总觉得要在而立之年做些什么,在决定创业的时候觉得应该为这十多年做一个总结,这才让我推翻之前的决定接下出版商的邀约。
我选择运维安全做为书的主线是因为:近两年,各互联网巨头业务以及互联网金融业务特性的快速推动,让安全的焦点快速的从运维安全转向业务安全,这其实并没有错,只是会导致一些跟风的企业转移安全的重心,导致跑偏的安全投入。
书中的案例和解决建议来自我这十多年的遇见与沉淀,其初衷一是为自己做一个总结,二是为读者带来一些参考。书中介绍了在企业运维安全中会遇见那些风险以及用什么样的方式去解决,至少在眼光望着的业务安全之前要先搞定内部环境的风险。想知道我这十多年遇见了什么有意思的事情,等下半年买书吧。
51CTO:您认为这么多年运维安全工作有哪些变化与演进?
朱磊::运维安全其实是信息安全发展的中间环节,信息安全的发展最早始于网络安全,发展与运维安全,重生与业务安全。先行者为乙方安全厂商,标志性产品就是防火墙这类的边界防御产品。所以,往前推个小十年大家在谈到信息安全时第一个印象就是防火墙。
随着互联网的崛起与演化,信息安全开始转向内网安全,于是以事件驱动的SOC(安管平台)出现,这是运维安全的雏形,也是演化时间较长的过程。随后各类边界、行为管理、审计产品开始出现,这众多的防御产品的出现看似对安全问题很有针对性,但这在解决问题的同时带来了新的问题。一个个独立的信息孤岛无形中加重了运维安全负担,大量的产品要靠流程与制度串联起来,而企业发展壮大后走流程其实是一件相当耗时的事情。
业务安全也是这两年伴随电商的火热从金融安全体系中引荐而来的方向,有一个简单粗暴的名称”风控”。运维安全也借由风控这把利剑在公司的架构中劈出一席地位,风控的核心是评估与规避业务环节的各类信息安全风险,与业务挂钩可以很准确的算出风险所带来的损失,也正因为这个准确的估算让公司注重信息安全的投入。简单粗暴的解释是公司一次市场推广活动投入400万做营销,结果投入的奖品全让”有心人”刷走了,一个团队彻夜的赶工加上宣传费用付之东流,对老板而言自然愿意拿出100万安全预算来规避未来可能造成的400万损失。
51CTO:最后,您能透漏一下本届WOT峰会上的演讲主题或内容么?
朱磊:首先感谢主办方51CTO的邀请,演讲的主题自然离不开运维安全,在阐述个人观点的同时,可耻的做一做广告。
另外做一个透漏,本届WOT峰会我除了做运维安全的观点分享还接下了安全分会场的主持人工作

1

您所需即是我们擅长

专注业务安全细分领域,我们所提供的服务模式均来自真实的需求沉淀,超过30个大类150小类的标准服务检测项不止是为了体现专业更是我们对细节的追求